CTI、JTAPI、および TAPI アプリケーションの認証
Unified Communications Manager を使用して、CTIManager と CTI/JTAPI/TAPI アプリケーションとの間のシグナリング接続およびメディアストリームを保護できます。
(注) |
Cisco JTAPI/TSP プラグインのインストール中に、セキュリティ設定を構成したとします。また、Cisco CTL クライアント、または CLI コマンドセットの utils ctl で、クラスタセキュリティモードが混合モードに設定されていることも前提としています。この章で説明する作業を実行する際に、これらの設定が定義されていない場合、CTIManager とアプリケーションは非セキュアポートのポート 2748 で接続されます。 |
CTIManager とアプリケーションは、相互に認証された TLS ハンドシェイク (証明書交換) によって他方の当事者の id を確認します。TLS 接続が確立されると、CTIManager およびアプリケーションでは、TLS ポートのポート 2749 を介して QBE メッセージを交換します。
アプリケーションとの認証を行うために、CTIManager は、Unified Communications Manager 証明書(インストール時に Unified Communications Manager サーバに自動的にインストールされる自己署名証明書、またはプラットフォームにアップロードされたサードパーティの CA 署名付き証明書)を使用します。
CLI コマンドセットのmonitorctlまたは Cisco ctl クライアントを使用して ctl ファイルを生成した後、この証明書は ctl ファイルに自動的に追加されます。アプリケーションでは、CTL ファイルを TFTP サーバからダウンロードした後で、CTIManager への接続を試みます。
JTAPI/TSP クライアントが最初に TFTP サーバから CTL ファイルをダウンロードするときに、JTAPI/TSP クライアントは CTL ファイルを信頼します。JTAPI/TSP クライアントでは CTL ファイルを検証しないため、このダウンロードはセキュアな環境で実行することを推奨します。JTAPI/TSP クライアントは、その後の CTL ファイルのダウンロードを確認します。たとえば、CTL ファイルを更新した後、JTAPI/TSP クライアントは、CTL ファイルのセキュリティトークンを使用して、ダウンロードする新しい CTL ファイルのデジタル署名を認証します。ファイルの内容には、Unified Communications Manager 証明書と CAPF サーバ証明書が含まれます。
CTL ファイルが侵害された場合、JTAPI/TSP クライアントはダウンロードした CTL ファイルを置き換えません。クライアントはエラーをログに記録し、既存の CTL ファイル内の古い証明書を使用して TLS 接続を確立しようとします。CTL ファイルが変更されたか、または侵害された場合、接続は失敗する可能性があります。CTL ファイルのダウンロードが失敗し、複数の TFTP サーバが存在する場合は、ファイルをダウンロードするように別の TFTP サーバを設定できます。JTAPI/TAPI クライアントは、次の状況ではどのポートにも接続しません。
-
クライアントは何らかの理由で CTL ファイルをダウンロードできません。たとえば、CTL ファイルは存在しません。
-
クライアントには、既存の CTL ファイルがありません。
-
アプリケーションユーザをセキュアな CTI ユーザとして設定しました。
アプリケーションは、CTIManager を使用して認証するために、認証局プロキシ機能(CAPF)によって発行される証明書を使用します。アプリケーションと CTIManager との間のすべての接続で TLS を使用するには、アプリケーションの PC で実行されているインスタンスごとに一意の証明書が必要です。1つの証明書がすべてのインスタンスをカバーしていません。Cisco Unified Communications Manager Assistant サービスが実行されているノードに証明書がインストールされるようにするには、「アプリケーションユーザおよびエンドユーザの CAPF プロファイルの設定」の説明に従って、 Cisco Unified Communications Manager Administration で、それぞれの [アプリケーションユーザ CAPF プロファイルの設定(Application User CAPF Profile Configuration)] または [エンドユーザ CAPF プロファイルの設定(End User CAPF Profile Configuration)] に一意のインスタンス ID を設定します。
ヒント |
アプリケーションをある PC からアンインストールして別の PC にインストールする場合、新しい PC のインスタンスごとに新しい証明書をインストールする必要があります。 |
また、アプリケーションの TLS を有効にするには、Unified Communications Manager でアプリケーションユーザまたはエンドユーザを Standard CTI Secure Connection ユーザグループに追加する必要があります。このグループにユーザを追加して証明書をインストールすると、アプリケーションによって、ユーザが TLS ポート経由で接続することが保証されます。